Inleiding

De beveiliging van de Siip identity infrastructuur, waaronder identity wallets, onboarding flows en credential services, heeft voor ons de hoogste prioriteit.

Wij waarderen de inzet van security researchers en ethische hackers die ons helpen deze kwetsbaarheden op een verantwoorde manier te identificeren en te melden.

Toepassingsgebied (Scope)

Dit beleid is van toepassing op alle systemen en diensten van Siip Group en alle aan haar gelieerde dochterondernemingen (verder te noemen Siip) die klantdata of persoonsgegevens verwerken of opslaan.

Niet in scope:
systemen van derden, interne bedrijfssystemen die geen klantdata of persoonsgegevens verwerken en activiteiten zoals social engineering en denial-of-service testen.

Wat wij van je verwachten

Deelname aan dit beleidsprogramma is uitsluitend toegestaan onder de voorwaarde dat je:
– kwetsbaarheden onverwijld meldt via responsibledisclosure@siip.group
– voldoende informatie aanlevert om het probleem te reproduceren
– geen misbruik maakt van kwetsbaarheden
– geen toegang verkrijgt tot gegevens van klanten of derden
– je onderzoek beperkt tot strikt noodzakelijke handelingen
– de kwetsbaarheid niet openbaar maakt voordat deze is opgelost

Niet toegestane activiteiten

De volgende activiteiten zijn niet toegestaan:
– verstoring van systemen, dienstverlening, monitoring, logging of operationele processen, waaronder DoS/DDoS-aanvallen
– genereren van grote hoeveelheden verkeer of requests
– geautomatiseerde scanning zonder voorafgaande schriftelijke toestemming van Siip
– brute-force aanvallen
– social engineering of phishing
– exfiltratie van gegevens
– testen buiten de in dit beleid vastgelegde scope

Safe Harbor

Indien je handelt in overeenstemming met dit beleid:
– ondernemen wij geen civiel- of strafrechtelijke stappen
– behandelen wij je melding vertrouwelijk en met waardering

Dit geldt uitsluitend indien:
– geen schade wordt veroorzaakt
– activiteiten proportioneel zijn
– je onmiddellijk stopt met activiteiten op eerste verzoek van Siip

Beëindiging van activiteiten

Wij behouden ons het recht voor om je te verzoeken je activiteiten onmiddellijk te staken indien:
– deze verstorend zijn voor systemen, monitoring of de bedrijfsvoering van Siip
– deze buiten de in dit beleid vastgelegde scope vallen
– deze risico vormen voor gebruikers of infrastructuur

Wij verwachten dat je in dat geval per direct stopt met verdere activiteiten.

Afhandeling van meldingen

Siip:
– bevestigt ontvangst van je melding binnen 5 werkdagen
– beoordeelt en prioriteert de melding op basis van ernst en impact
– spant zich in kwetsbaarheden zo spoedig mogelijk te verhelpen
– communiceert uitsluitend schriftelijk via responsibledisclosure@siip.group

Juridisch kader

Dit beleid is opgesteld in overeenstemming met de geldende wet- en regelgeving waaronder:
– Verordening (EU) 2016/679 (AVG/GDPR)
– Wetboek van Strafrecht, artikel 138ab e.v. (computervredebreuk)
– Richtlijn (EU) 2022/2555 (NIS2)
– Verordening (EU) 2019/881 (Cybersecurity Act)

Activiteiten buiten dit beleid kunnen leiden tot civiel- of strafrechtelijke stappen.

Contact

Meldingen en alle communicatie in het kader van dit beleid verlopen uitsluitend via responsibledisclosure@siip.group